LINUX.ORG.RU

Как без лишних переживаний запустить skype?

 , ,


3

2

О причинах умолчу. Считайте, что паранойя. Нужно запустить skype в песочнице.

Гуглёж выдает всякие selinux'ы и apparmor'ы. Мне кажется это перебор, т.к. закрывать от скайпа что-то кроме фс не вижу смысла. Если есть, то прошу разъяснений.

Так вот, есть в генте такая тулза sandbox. Как сделать что-то вроде такого?

SANDBOX_DENY="${HOME}"
SANDBOX_WRITE="${HOME}/.skype"
чтобы скайп не смог в моем хомяке ничего прочитать, кроме своей папки?

★★

закрывать от скайпа что-то кроме фс не вижу смысла

Вникай.

Спойлер для Ъ :)

Для тех, кто ничего не понял:
Любая программа, запущенная под иксами, имеет возможность ловить все инвенты во всех окнах под этими иксами (простейший кейлоггер можно реализовать на шелл-скрипте)

Считайте, что паранойя.

Только qemu, только hardcode.

Umberto ★☆
()
Последнее исправление: Umberto (всего исправлений: 1)

Создай нового пользователя и запускай скайп из-под него.

NeXTSTEP ★★
()

Как без лишних переживаний запустить skype?

Просто его не запускать.

Ваш адмирал.

fraxinum
()
Ответ на: комментарий от Umberto

Спасибо. Про виртуалку я тоже думал =) Значит таки придется через нее.

kulti ★★
() автор топика

Не переживай.

J ★★★★★
()

man mumble, man ekiga

Deleted
()
Ответ на: комментарий от Umberto

Плюсую виртуальную машину. С Gentoo в ней страдать не надо, ставь Debian netinstall.

anonymous
()

Плюсую просто отдельного юзера, не имеющего права читать ничего, кроме своей хоумдиры. Если уж совсем параноик, можно на время ввода паролей скайп убивать.

unt1tled ★★★★
()

Если ты правда параноик, то только виртуальная машина, либо же отдельный юзер и отдельные иксы. В противном случае имея доступ к иксам скайп может делать что угодно.

Учитывая, что иксы у тебя 99% работают из под рута, то только виртуальная машина, без вариантов.

winddos ★★★
()
Последнее исправление: winddos (всего исправлений: 1)

Честному человеку скрывать нечего! ☺

Anon
()
Ответ на: комментарий от blackst0ne

Shit! И правда!

eddy      2270  0.0  0.0  13880  1492 ?        Ss   08:04   0:00 -bash -c /bin/bash --login -c startx -- -nolisten tcp -br -deferglyphs 16 >/dev/null 2>/dev/nu
eddy      2271  0.0  0.0  14320  1832 ?        S    08:04   0:00 /bin/sh /usr/bin/startx
eddy      2311  0.0  0.0  15900   864 ?        S    08:04   0:00 xinit /home/eddy/.xinitrc -- /etc/X11/xinit/xserverrc :0 -auth /tmp/serverauth.JQ9JgOLfC0
root      2312  2.7  0.2 103088 18040 tty7     Ss+  08:04   0:38 /usr/bin/X -nolisten tcp :0 -auth /tmp/serverauth.JQ9JgOLfC0
eddy      2324  0.0  0.0  74648  2372 ?        S    08:04   0:00 icewm-session

Как страшно жЫть!

Anon
()

Запускай под вендой.

Lavos ★★★★★
()

закатай его в lxc и xnest

thesame ★★★★
()
Ответ на: комментарий от winddos

А если перейти на вяленого, то все равно ноль-эффекта, т.к. через X'овый бэканд все работать будет? Или там иксы не запускаются? И да, икса от рута - это для меня была мега-новость...

kulti ★★
() автор топика
Ответ на: комментарий от kulti

А если перейти на вяленого, то все равно ноль-эффекта, т.к. через X'овый бэканд все работать будет? Или там иксы не запускаются?

Там ничего не должно запускаться из под рута, но я честно говоря не уверен, что там что либо сделано для защиты от злонамеренного клиента.

Ну т.е в винде когда юзер вводит пароль UAC ты софтом из обычного режима этот пароль не прочитаешь вообще никак, т.к для этого софта сабжевого окошка вообще не существует. В линуксе его любой скрипт работающий с твоими правами может прочесть.

winddos ★★★
()
Ответ на: комментарий от invokercd

Главное скайпик от рута не пускать.

Т.е ты как параноик убеждаешь себя в том, что скайпик за тобой может следить, но почему-то думаешь, что он не может это делать грамотно.

winddos ★★★
()
Ответ на: комментарий от kulti

В wayland на каждое x-приложение по rootless X-серверу

kravich ★★★★
()
Ответ на: комментарий от Umberto

Любая программа, запущенная под иксами, имеет возможность ловить все инвенты во всех окнах под этими иксами

а если программы запущенны под разными X-серверами?

mm3 ★★★
()
Ответ на: комментарий от mm3

а если программы запущенны под разными X-серверами?

Если на диске сохраняется magic cookie для доступа к X-сессии, то она его найдет и спокойненько подключится к нужной сессии.

anonymous
()
Ответ на: комментарий от winddos

Технически реализовать слежку за десятками миллионов юзеров в день которые отсылают немерянное количество сообщений, нужно очень этого хотеть.

invokercd ★★★★
()
Ответ на: комментарий от invokercd

Технически реализовать слежку за десятками миллионов юзеров в день которые отсылают немерянное количество сообщений, нужно очень этого хотеть.

Как это относится к тому факту, что обход песочниц при наличии доступа к иксам элементарен? Это задачка с которой справится любой школьник.

Хотя можешь дальше настраивать себе AppArmor/SELinux/etc и чувствовать себя дофига в безопасности. Прямо как виндузятник который ставит антивирус и продолжает сидеть под администратором и запускать левые экзешники скачанные с инета..

winddos ★★★
()
Последнее исправление: winddos (всего исправлений: 1)
Ответ на: комментарий от winddos

У меня на машине со скайпом нет информации которая представляет такую ценность, хотя параноикам не понять.

invokercd ★★★★
()
Ответ на: комментарий от Chaser_Andrey

Потому что выглядит как полумеры. Вроде бы виртуалка, да ведро то же, вроде бы иксы другие, да под теми же.

anonymous
()
Ответ на: комментарий от winddos

В линуксе его любой скрипт работающий с твоими правами может прочесть.

А дай-ка ты скрипт, который, скажем, пароль вводимый в sudo прочитает. А то звездеть все горазды.

unanimous ★★★★★
()
Ответ на: комментарий от winddos

Если ты правда параноик, то только виртуальная машина

параноики знают, что из виртуальной машины можно сбежать в некоторых случаях :)

xtraeft ★★☆☆
()
Ответ на: комментарий от neocrust

Как же ты меня раздажаешь. Ты ни разу не сказал тут что-либо полезного, несёшь один хомяковый тупняк. Пойди убейся.

anonymous
()
Ответ на: комментарий от xtraeft

параноики знают, что из виртуальной машины можно сбежать в некоторых случаях :)

Естественно, но любая виртуалка намного меньшее решето, чем десктопный линукс.

winddos ★★★
()
Ответ на: комментарий от mm3

а если программы запущенны под разными X-серверами?

ps aux выполни. Чрут, отдельные иксы, это как кабинки для курящих.

Umberto ★☆
()

[fat] А вы думали, что скайп обновляется чтобы добавить новые нескучные плитки? Это они новые приватный шифрованные бинарные локальные рут сплойты добавляют.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)

Это вас не спасёт вы будите страдать ;-)

Так же при запущенном скайпе можно определить ваше местолопожение, накладывать на карту и хранить историю ваших местоположений,только цыц.

majei
()
Ответ на: комментарий от majei

Туннель.

Не пытайся лишить нас уверенности с своих силах, засланец АНБ.

anonymous
()
Ответ на: комментарий от blackst0ne

сомневаюсь






да и вообще кому вперся этот костыль если есть Xmir ?

anonymous
()

да и вообще непонятно зачем интернетной звонилке иксы
в общем скайп ненужное ненужно

anonymous
()
Ответ на: комментарий от anonymous

Осталось объяснить это хомякам на другой стороне.

anonymous
()

На отдельном и огороженном устройстве.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от neocrust

Скайпоюзеры должны страдать.

// obvious fix by happy paranoid

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.